網貸平臺成網路安全重災區 如何擺脫“駭客圍城”
- 發佈時間:2016-05-23 08:09:00 來源:法制日報 責任編輯:書海
網際網路金融平臺本身屬於一種創新性的金融業態或産品,原有的金融風險一樣沒有少,還增加了更多的技術風險。在快速發展過程中,金融風險與金融安全問題越來越突出。
網際網路金融安全不僅是技術問題,更是管理問題。網際網路金融平臺要從事前、事中和事後三個方面進行完善,監管者也應該建立相應的評價機制
2016年5月18日,全球最大駭客組織匿名者(Anonymous)突襲希臘央行之後,宣稱長達30天的DDoS攻擊開始。隨著塞普勒斯央行、荷蘭央行、馬爾地夫央行等眾多官網站點被DDoS攻擊癱瘓,其他各國金融機構紛紛拉響抗DDoS警報。根據該駭客組織公佈的攻擊名單,中國人民銀行也赫然在列。
然而,正深受DDoS攻擊之擾的金融機構並非僅限於此,網際網路金融行業或許正在成為最大的受害者——螞蟻金融、網貸之家等多家P2P平臺或第三方資訊服務平臺接連遭到駭客攻擊。
今年上半年,全國金融行業(含網際網路金融)安全漏洞總量同比增長181.9%。相關人士表示,目前網際網路金融行業存在很大的安全隱患,客戶資訊洩露、支付漏洞、惡意攻擊等為雲平臺的普及帶來了新的威脅。
“中國P2P網貸成為網路安全的重災區。”中央財經大學金融學院教授郭田勇在接受《法制日報》記者採訪時説。
P2P創業者遭勒索
見面地點,秦浩雲選擇了一家社區醫院的中醫病房。頭、肩膀插滿針灸,嘴裏談論著網際網路創業、駭客攻擊。這樣的採訪經歷,對於記者來説,也算是新鮮。
對於如此選擇,秦浩雲也滿是無奈。作為網際網路金融行業的年輕創業者,秦浩雲正經歷創業以來最大的困境——連續兩次被駭客攻擊,“説是攻擊,還不如説是勒索”。
幾天前,秦浩雲的平臺遭受第一次攻擊,隨後客服收到駭客的敲詐,數目不多,1000元。
在秦浩雲提供的聊天截圖中,記者看到,駭客開門見山,“我們封了你們的網站”“通知老闆聯繫我”,並附上了聯繫QQ。
第一次被攻擊,摸不清狀況的秦浩雲“滿足”了駭客敲詐勒索的條件。緊接著第二天,他又收到駭客的敲詐條件:
“受同行業雇傭封你們的網站”——經過一晚上的了解,心裏有譜的秦浩雲知道,這是絕大多數駭客的慣用説法,真假不得而知;
“受保護網站安全運作費,每月1000元”——駭客團隊表示只要交錢,將不再攻擊,即使遭遇其他駭客攻擊,也有他們“擺平”。
交還是不交?交,會不會成為無底洞;不交,網站崩潰怎麼辦,更重要的是客戶資金安全。
在緊急磋商之後,秦浩雲的團隊高價請人加固了網站防護措施,暫時化解這場危機。
在秦浩雲看來,這些經歷説起來輕描淡寫,但幾天下來,他已經瀕臨崩潰。“有的平臺被敲詐走了七八萬元,而且駭客侵襲的不單單是那些實力弱小的P2P平臺,連某些防護能力一流的平臺也被攻擊過。扎完針灸,我要馬上和團隊討論防護升級,不能再有下次了”。
作為網際網路金融平臺的年輕創業者,經歷過此輪“歷練”,秦浩雲認識到,網際網路金融平臺最大的成本不是平臺的運營成本,也不是獲取客戶的支出成本,更不是企業監管上的投入成本,而是作為網際網路金融這個特殊行業的平臺信譽成本。
曾有業內專家這樣評析,網際網路金融網站作為信譽展示的首要平臺,如果因為網站資訊洩露、宕機、頁面篡改等原因導致用戶信任喪失,那麼平臺也就丟失了本身的信譽,成為無源之水。再精妙的運營規劃、再強大的運營投入也於事無補。因此,作為網際網路金融企業,決不能讓安全技術成為業務發展的絆腳石。
“網際網路金融平臺本身屬於一種創新性的金融業態或産品,將金融與科技進行了結合。但如果從安全的角度看,網際網路金融的風險肯定更加複雜和多樣,至少原有的金融風險一樣沒有少,還增加了更多的技術風險可能。網際網路金融起步於民營企業,來源於金融創新,在快速發展過程中,金融風險與金融安全問題越來越突出。”中國社科院金融所法與金融室副主任尹振濤對《法制日報》記者説。
駭客攻擊成最大隱患
網際網路企業那麼多,駭客為啥這麼喜歡P2P?對此,曾有人作出這樣的比喻:如果你看著一個三歲娃娃抱著一箱錢走在街上,你不想搶啊?
“網際網路駭客等惡意攻擊問題一直伴隨著網際網路技術的發展,這與網際網路技術本身有關,並不是網際網路金融或者説是中國特有的。在國際上,有很多有關駭客惡意攻擊國際知名機構的案例。”尹振濤向記者介紹説,從國內情況看,目前存在兩種傾向,一種是尋找漏洞攻擊國內知名的大平臺,用勒索手段獲得非法的利益。大機構一般會穩定投資者情緒,避免事件擴散及聲譽受損等,平息事件。另一種是駭客直接攻擊安全防範不健全的小平臺,直接攻擊其支付渠道等,盜取資金。
駭客攻擊第三方支付平臺的手段多是流量攻擊,主要意圖是導致用戶無法正常訪問。而流量攻擊無法從根本解決,只能通過流量清洗、加大頻寬來應對。
然而,流量清洗及防護的價格並不便宜。曾有P2P平臺受攻擊後,3個小時的DDoS防護就花了16萬元。據了解,以某公司的雲盾DDoS防護為例,保底包月費用接近4萬元,按天的彈性付費根據攻擊流量的不同,價格從不到兩千元至兩萬餘元不等,具體的收費總額還要看防護情況而定。
正是基於被攻擊公司不捨得花錢的心態,駭客常常開出數萬元至數百萬元不等的勒索金額。
據調查統計,駭客攻擊網際網路金融平臺的目的主要為竊取數據,佔比高達48%,其次為敲詐勒索和商業競爭。
秦浩雲向記者介紹説,大批網際網路金融平臺被駭客攻陷,駭客攻擊除能引起系統癱瘓外,還將數據惡意修改、洗劫一空;駭客通過申請賬號、篡改數據、冒充投資人進行惡意提現甚至資金被盜事件也曾發生。
根據中國權威第三方漏洞監測平臺烏雲網從2014年至2015年8月對P2P行業漏洞數量統計顯示,高危漏洞佔56.2%,中危漏洞佔23.4%,低危漏洞佔12.3%,其中8.1%被廠商忽略。除了系統安全漏洞,駭客攻擊技術的升級仍然是網路安全最大的隱患。
“駭客尋找漏洞攻擊國內知名大平臺,主要與網際網路技術本身相關,即便是大平臺,投入再大的人力物力研發系統,也同樣會存在不可預知的漏洞。因為,技術總歸是人設計的。這只能通過技術的不斷迭代去彌補漏洞。”尹振濤向記者分析説,針對安全防範不健全的小平臺,則是因為在網際網路野蠻生長過程中,埋下了風險隱患,“那些對技術投入小,不重視金融安全風險的平臺,受惡意攻擊情況就會很突出。同時,‘蒼蠅不叮無縫的蛋’,這些平臺可能也存在著這樣或那樣的‘不可告人的秘密’,也給不法分子留下了機會”。
有業內人士介紹,有些平臺直接在網上購買較為廉價、安全性缺乏保障的網貸系統,這樣的平臺在安全局勢尤為緊張的網際網路金融領域,無異於“裸奔”,平臺安全岌岌可危。
對此,尹振濤透露説:“據我所知,一套這樣的網貸系統市場價在20萬元左右,這些系統存在大量風險漏洞。之前,也存在一個公司開發的網貸平臺系統受到攻擊,多家使用的平臺受影響的風險事件。主要原因在於,很多小平颱風險意識淡薄,只考慮如何做大規模、如何賺取利潤。同時,網貸平臺本身也有管理層結構問題。在這些小平臺,懂技術的不懂金融,懂金融知識的不懂網路技術。”
中央財經大學金融法研究所所長黃震也向記者介紹了這樣的情況:“有一些平臺確實是考慮不週,他們按照産業價格購買他人的軟體,或者由技術並不強的公司替他們開發所謂的軟體或在他人的軟體上修修改改而已。”
安全如何不再是痛點
監管,是網際網路金融發展繞不開的話題。
黃震向記者介紹説,對於上述提到的購買廉價技術、安全意識不強的平臺,目前沒有相關監管,“此前有文件對這些P2P平臺提出批評,但具體怎麼管,具體的政策還沒有出臺”。
中央財經大學資訊學院院長、金融資訊安全研究所所長朱建明認為,安全是一個整體,網際網路安全措施的級別要與商業價值相一致。網際網路金融安全不僅是技術問題,更是管理問題。不僅包括一般的安全問題,更包括業務安全問題。當前行業的普遍觀點是,雲計算的負載資源能力以及建立在虛擬化平臺上的安全設備和安全管理網站有很大優勢,大數據安全應該是網際網路金融公司安全問題的重中之重。
在尹振濤看來,P2P平臺、監管者以及投資者應各盡其責:
對平臺來説,網際網路金融安全風險,特別是技術風險問題,這是不可回避的。要從事前、事中和事後三個方面進行完善。事前要重視金融風險和安全問題,投入人力、物力進行防範。事中要有監控手段和方法及相應的機制。事後要有處置預案、補償機制設計等,儘量減少損失,降低破壞率;
隨著網際網路金融治理的不斷深入,自然會淘汰那些技術落後和不健康的小平臺,這對整個行業的風險水準會有很好的提升。針對網際網路金融特有的性質,監管方面也應該有檢測的規章制度,或者網際網路金融協會主導或其他第三方評估機制主導的評價機制。當然,在實施過程中,也應該避免出現“賣認證”的問題;
投資者作出選擇時,應該儘量選擇可靠的大平臺,自己增強風險防範意識,特別是網際網路技術和移動互聯安全問題。
郭田勇則提出要提高從業人員的業務審查能力。
黃震也提出了類似觀點:“按照現在已有的法律法規的標準,對於提供軟體和網路服務的服務商嚴格審查,這是現有的服務要求。”
此外,黃震建議,P2P平臺可以通過各行業協會提出安全保障要求,“在未來國家正式的監管部門成立後,在監管時可以提出要求,這是可以逐漸實施的方法和路徑。大數據時代,數據涉及到個人資訊越來越多,需要加強安全保護,數據安全要求規範立法的呼聲會越來越高,這是可以理解的,這方面的法律幾乎接近空白狀態,每個人都感覺沒有安全感、有被偷窺的感覺。這方面應先從公司的自律開始,逐漸建立行業的標準和規範”。